我怎样才能防止对我的SQL Server安装的攻击？

除非你有足够的理由，否则不要把你的SQL服务器放在networking边缘。

我看到你认为你需要在互联网上的SQL，因为开发者需要访问。 这不是让SQL可用于互联网的好理由。 您有许多选项可供您的开发人员在不使SQL服务器可访问的情况下访问服务器。 他们可以SSH到服务器，并通过命令行运行SQL命令。 他们可以使用VPN连接到服务器，并运行任何应用程序。 你甚至可以locking防火墙，只允许开发者访问。 许多更安全的选项可供您使用。

为了logging，我最喜欢的是使用密钥进行身份validation的SSH访问。 这样可以提供更多的安全选项，而且如果需要，开发人员可以使用SSH通过服务器进行通道连接，如果没有，则可以通过命令行访问。 您可以使用chroot，jail或者普通的旧权限来保护服务器免受攻击

答案是不要直接将您的SQL服务器暴露给Internet。

沿着这些线我回答说的其他答案说：“除非你必须”，但我不同意这个答案的部分：如果你认为你必须直接把SQL服务器放在网上，然后重新devise你的应用程序直到你不再需要这样做。 作为一个绝对的最低限度，如果说你只有一个服务器，它运行的一切，然后防火墙closures的方块，不要暴露的SQL服务器端口（或其他任何你不是绝对需要的）到外面的世界。

这不仅仅是一个SQL服务器的东西，或一个微软的东西，或一个Web应用程序的东西，这是基本的安全常识; 为保护系统而做的第一件事情之一是将黑客可以“看到”的“攻击面”降至最低。

你不应该有像公共networking直接访问SQL Server的东西。 如果外部用户需要访问，那么仍然阻止SQL服务器从公共networking，但通过某种VPN设置（例如OpenVPN设置或通过SSH隧道）给开发人员访问 – 这样你就不会得到强大的连接尝试从恶意的人/代码，你会得到额外的好处，他们和你的服务器之间的所有通信都encryption（和正确的SSH或VPN选项，压缩，这可能会有重大的不同）。

不允许公众访问服务器是最重要的。 将其保留在防火墙或NAT之后。 我相信别人可以给你一个更广泛的答案，但认为这是值得一提的。

如果必须使SQL服务器可见，请告诉防火墙阻止重复的失败尝试。 我不知道你在用什么，但是任何体面的防火墙软件包都可以让你configuration这些东西。

如果你不能防火墙，把端口从默认的1433更改为其他 – 这些尝试中的大多数将是自动bruteforce尝试，甚至不会考虑尝试不同的端口。

我同意在这里，如果SQL框不需要面向外部，然后禁用它或添加一个辅助networking接口，双归它的后端networking上的SQL服务，并限制在前端互联网接入适配器的访问。

在SQL Server中使用了两种身份validation模式：Windows身份validation和混合模式（同时启用Windows身份validation和SQL Server身份validation）第一种模式不太容易受到暴力攻击，因为攻击者很可能会遇到loginlockinglocking策略function）在有限数量的攻击尝试之后。 如果使用Windows身份validation模式，则每个生产环境都应该使用locking策略function，因为这样做不可能实施powershell攻击

当谈到SQL Server身份validation暴力攻击漏洞时，情况并不是那么有利。 SQL Server身份validation没有任何function可以检测系统是否受到暴力攻击。 而且，SQL Server在validationSQL Server身份validation凭证方面非常灵敏。 它可以轻松处理重复的，积极的，暴力的login尝试，而不会产生负面的整体性能，这可能表明这种攻击。 这意味着SQL Server身份validation是通过暴力攻击密码破解的完美目标

为了保护您的SQL Server免受暴力攻击，您应该考虑以下几点：

•不要使用SQL Server身份validation模式 – 强制攻击者通过Windows身份validation进行loginlocking

•如果您需要使用SQL Server身份validation模式，请禁用或移除SAlogin名 – 这样攻击者必须猜测并配对用户名和密码

你可以阻止与防火墙的SQL，它不需要互联网连接，它与阿帕奇女巫与所有的互联网连接，它需要沟通，我build议你安装netlimiter，你可能要备份你的文件，并进行病毒扫描。 pref与avast引导扫描。

祝你好运。

PS我不build议在操作系统防火墙Windows苹果或Linux的任何生成。